Reprise du message précédent :
ok c'est ce que je pensais donc :  
$strmonth = \w{3}
$day = \d{1,2}
$hour = \d{2}:\d{2}:\d{2}
$host = ([^ ]*)
$msg = (.*)
 
donc je vais modifier ([^ ]*) de sorte a chopper mon adress ip   pour entrer dans les if qui suivent

Mar  8 20:03:32 server kernel: accept IN=eth1 OUT= MAC=00:50:fc:47:d5:d6:00:50:fc:4c:c5:77:08:00 SRC=192.168.1.12 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4878 DF PROTO=TCP SPT=50932 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0
 
tiens moi au courant ..
mais normalement, ilne devrait pas y avoir de prob a chopper une IP avec le masque [^ ]*

hello
 
Tu peux regarder des idées qui viennent de projets similaires.
http://www.phpwizardry.com/php-syslog-ng.php
http://www.vermeer.org/projects/php-syslog-ng

C'est pas mal les liens que tu as données sauf que dans le cas précis seul les log de iptables on besoin d'être traité.
Sinon j aurais appris des astuces via ces deux projets  

 
J aurais plus tenté un truc de ce style : [1-9]{1,3}\.[1-9]{1,3}\.[1-9]{1,3}\.[1-9]{1,3} ?

bah si j'ai pas fait ca, c'est parce que chez moi par exemple, syslog resout les nom ... donc 'firewall' matche pas ...
 
Mais tu peux adapter la regexp a tes besoins, pas de prob ...

Y'a PHPMyPrelude dans le même genre qui est pas mal (SourceForge) pour les IDS

justement, je voulais pas les statistics et autres analyses (corrélation de log) mais bien de l'analyse live ...

salut trictrac,
très bonne idée, on pourrait même penser à un système qui fait des stats en live et se met a "clignoter" si le systeme recoit plus de X connections refusées de la même adresse, ou sur un même port...
Les scripts d'ipcop sont très bien pour la visualisation des logs de sécurité aussi il y a surement des idées à prendre (comme par exemple le lien vers whois sur les adresses litigieuses, très instructif ).
 
a+

As tu penser a la gestion de log rotate

ou, le module File::Tail de perl s'en occupe tout seul (c'est celui qui est utilisé par logwatch) et dans la pratique j'ai logrotate, et ca tourne depuis un an ...
mais bon, j'attendais plus de feedback..
Pour savoir comment améliorer l'installeur pour que je puisse en parler à des progeux qui ont pas envie de 'bricoler' ...
 
PS: merci Le_tollier

salut,
 
si tu veux créer un paquet deb, je te conseille le dernier chapitre du livre debian des cahiers de l'admin. C'est pas de la pub c'est une intro tres bien faite en francais au packaging debian. SInon les manuels internet
 
http://www.debian.org/doc/maint-guide/
http://tldp.org/HOWTO/html_single/ [...] ing-HOWTO/
http://packages.ubuntulinux.org/dapper/doc/maint-guide
http://www-128.ibm.com/developerwo [...] ebpkg.html
 
Par exemple
 
a+

Pour info, je suis en train de regarder des autres projet GPL ce qu'il y a de bon a prendre.
J'attend toujorus le retour du tolier sur l'install, si jamais ca évolue.
Et si d'autres personnes veulent s'essayer à l'install, qu'elle me disent ce qui peut conrètement etre faitpour arrenger les problème qui ne manqueront pas d'arriver.
Enfin, pour le .deb, je regarderai a l'occaz dans quelle mesure ca peut etre faisable ...

Moi je dis up

C'est toujours vivant ? Pour le packaging debian je peux filer un gros coup de main, voir m'en occuper carément

ca a pas eu le temps d'evoluer depuis ...
je suis en train de reconfigurer un fw tout propre qui ferait que fw, donc ca sera deja moins le bordel, et je vais essayer de refaire avancer le bouzin ensuite.
Pour le packaging debian, c'est noté, mais avant, il faudrait que j'arrive a faire un truc qui s'installe deja assez facilement, et comme ca touche a des bdd, qu'il faut aller jouer dans les regles du FW pour qu'il fasse des logs et tout, c'est pas top evident ...

Up, ou ca en est
 
(1 ans apres, k ?)

mort par faute de temps. Désolé